Hace unos días en Escudo Digital informábamos que el futuro de Google Analytics en Europa corría serio peligro si se producía un efecto dominó tras la decisión del Gobierno Austriaco de situarlo bajo el punto de mira al dictaminar que infringe el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Bien, pues hoy tenemos que contar que Francia se ha unido a Austria y se ha convertido en el segundo país en bloquear Google Analytics, complicando más la andadura de la plataforma en el viejo continente.
El organismo francés de protección de datos, la Commission nationale de l’informatique et des libertés (CNIL), también considera que Google Analytics viola las leyes del RGPD por el mismo motivo que apuntaron los austriacos: por las condiciones en las que los datos que recopila son transferidos a los Estados Unidos.
La CNIL explica que, en cooperación con sus homólogos europeos, ha analizado cuáles son estas condiciones y los riesgos que suponen para los usuarios, tras haber recibido 101 quejas al respecto de NOYB (Non Of Your Business), una asociación de defensa de la privacidad con sede en Viena fundada por el abogado austriaco y activista de la privacidad Max Schrems. La CNIL señala que su análisis ha tenido en cuenta la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de julio de 2020, que invalidó el "Escudo de Privacidad" ("Privacy Shield"), el acuerdo que tenían la UE y Estados Unidos y que permitía la transferencia de los datos de los usuarios europeos a EE.UU, y a las empresas norteamericanas.
"El TJUE había destacado el riesgo de que los servicios de inteligencia estadounidenses pudieran acceder a datos personales transferidos a Estados Unidos, si las transferencias no se supervisaban adecuadamente", recuerda el organismo francés.
La CNIL declara ilegal el uso de Google Analytics y le da un mes para cumplir las leyes europeas
El regulador francés, uno de los más influyentes de Europa, ha concluido que las transferencias de datos a los Estados Unidos no están suficientemente regulados y las medidas que ha adoptado Google en su plataforma, el servicio de análisis web más utilizado en el mundo, "no son suficientes para excluir la posibilidad de que los servicios de inteligencia estadounidenses accedan a estos datos".
"Por lo tanto, existe un riesgo para los usuarios del sitio francés que utilizan esta herramienta y cuyos datos se exportan".
La CNIL coincide con la Autoridad de Protección de Datos de Austria al señalar que las transferencias a Estados Unidos son ilegales ya que violan varios artículos del RGPD, entre ellos el número 44. Por ello, indica que ha lanzado un aviso formal al administrador del servicio para que este procesamiento cumpla con el RGPD y que tiene un mes para acatarlo. De no ser así, advierte que prohibirá el uso de Google Analytics en las condiciones actuales y podría utilizar una herramienta similar que no implique la transferencia de datos a países externos de la UE.
En cuanto a los servicios de medición y análisis de audiencia de un sitio web, la CNIL recomienda que estas herramientas se utilicen solo para producir datos estadísticos anónimos, lo que permite una exención del consentimiento si el controlador de datos asegura que no hay transferencias ilegales. En este sentido, anuncia que ha puesto en marcha un programa de evaluación para determinar las soluciones exentas de consentimiento.
"La CNIL ha iniciado otros procedimientos de notificación formal contra los administradores de sitios que utilizan Google Analytics", prosigue el regulador francés, y apunta:
"La investigación de la CNIL y sus homólogos se extiende también a otras herramientas utilizadas por los sitios y que dan lugar a la transferencia de datos de internautas europeos a Estados Unidos. Próximamente podrían adoptarse medidas correctoras en este sentido".
La respuesta de Google
Por el momento, Google no ha respondido a la CNIL, al menos públicamente. No obstante, tras situarse bajo la lupa de Austria lanzó un comunicado en el que alegó contar con "amplias medidas" que garantizan la "protección práctica y eficaz de los datos a cualquier nivel razonable" y defendió que es necesario un nuevo marco de transferencia de datos entre la UE y EE.UU.
"Hay demasiado en juego, y el comercio internacional entre Europa y EE. UU. es demasiado importante para el sustento de millones de personas, como para no encontrar una solución rápida a este problema inminente", advertía la compañía.
"A medida que los gobiernos concluyen un acuerdo, seguimos comprometidos a mantener los más altos estándares de protección de datos en todos nuestros productos y nos enfocamos en satisfacer las necesidades de nuestros clientes mientras esperamos un acuerdo revisado. Pero instamos a una acción rápida para restaurar un marco práctico que proteja la privacidad y promueva la prosperidad", sentenciaba Google.